Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

RGPD

Données personnelles : appliquer la nouvelle réglementation en six étapes clés

Publié le 14/02/2018 • Par Gabriel Zignani • dans : Actu juridique, actus experts technique, France

protection donnees cnil
CNIL
Les quelques mois qui restent avant la mise en application du RGPD ne suffiront pas à la majorité des collectivités d'être prêtes à temps. Si la Cnil promet d'être indulgente, il faudra toutefois s'être lancé dans la mise en conformité.

Ma Gazette

Sélectionnez vos thèmes et créez votre newsletter personnalisée

A compter du 25 mai, avec l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD), les collectivités seront responsables des données personnelles qu’elles possèdent. Il leur appartiendra de prendre toutes les mesures utiles afin d’assurer une protection optimale et permanente de celles-ci : c’est le principe d’accountability. On passe – sauf dans le cas des données les plus sensibles, où des formalités préalables restent d’actualité – d’une logique de contrôle a priori, avec des démarches administratives lourdes, à une logique de contrôle a posteriori, d’autocontrôle dynamique et permanent, sous le regard et avec l’accompagnement de la Cnil. Pour se préparer à ce changement de philosophie, plusieurs étapes sont nécessaires.

Désigner un pilote

C’est la priorité. Il faudra, d’ici le 25 mai, nommer un délégué à la protection des données personnelles (DPD). Celui-ci aura différentes missions. D’une manière générale, c’est lui qui pilotera la mise en conformité de la collectivité à la nouvelle réglementation, puis qui contrôlera l’application de celle-ci dans le temps. Il devra notamment informer et conseiller, de façon indépendante, le « responsable de traitement », chef de l’exécutif de la collectivité. De même, la sensibilisation, voire la formation, de l’ensemble des agents de sa collectivité est l’une de ses principales tâches (lire ci-dessous). D’ailleurs, dès sa nomination, il lui est recommandé de faire savoir à l’ensemble des agents sa désignation. Pour l’aider dans ses fonctions, la Cnil préconise de choisir des relais internes, appelés « relais informatique et libertés » dans les différents services.

Mais attention, le choix du délégué ne peut se faire à la légère. Virginie Langlet, correspondante informatique et libertés (CIL) du département des Alpes-Maritimes, explique ainsi que « le pilote doit être désigné pour ses qualités professionnelles et techniques. Il peut être intéressant qu’il ait déjà suivi des formations, ou qu’il soit prêt à en suivre, car il doit attester de la mise à jour de ses compétences tout au long de sa mission ». Et ce n’est pas la seule contrainte. La personne désignée doit être à l’abri des conflits d’intérêts. « Il ne peut s’agir ni du directeur général des services ni du directeur des systèmes d’information », précise Laurence Kerviel, juriste au centre de gestion du Finistère. A noter que le poste de DPD peut être mutualisé ou externalisé, une solution avantageuse pour les petites communes. Le formulaire nécessaire à la désignation du DPD sera prochainement disponible sur le site de la Cnil.

Cartographier les traitements de données personnelles

Le recensement de l’ensemble des traitements de données personnelles, telles les opérations concernant la collecte, l’enregistrement ou la consultation de ces données, peut être initié avant même la nomination officielle d’un DPD. Le tout est à consigner dans un registre des traitements, qui doit être régulièrement mis à jour, préalable indispensable à une protection des données efficace. Cet inventaire permettra notamment de dénicher les traitements à risques, réalisés sans base légale, c’est-à-dire mis en œuvre sans s’être appuyé sur l’un des fondements suivants : consentement des personnes concernées ; exécution d’un contrat ; respect d’une obligation légale ; sauvegarde des intérêts vitaux de la personne ; exécution d’une mission d’intérêt public ; poursuite d’intérêts légitimes. Il faut être vigilant et penser à récupérer toutes les données.

Etienne Drouard, avocat associé au sein du cabinet K&L Gates, insiste sur le fait que « la cartographie concerne autant les données personnelles détenues en interne que celles en possession des différents prestataires de la collectivité ». Et pour que l’exercice soit exhaustif, « il s’agit de travailler sur les traitements et leur organisation, sur l’ensemble des données elles-mêmes mais aussi sur les flux entrants et sortants, et de déterminer les propriétaires de ces données », précise Virginie Langlet.

Prioriser les actions à mener

Une fois la cartographie effectuée, il est bon d’identifier les actions à mener pour se conformer aux nouvelles obligations, puis établir un ordre de priorité selon les risques que font peser les traitements non conformes sur les droits et libertés des personnes concernées. La minimisation des données fait partie de ces actions. « La cartographie des traitements, et donc des données, permet de savoir quelles sont celles qui sont strictement nécessaires à la mise en place des mesures au sein de la collectivité, explique Virginie Langlet. Il est ainsi possible de ne collecter que les données dont on a besoin et, à terme dans le cadre de l’archivage, de ne conserver ensuite que ce qui est strictement nécessaire. »

Il faut également remettre à plat ses relations avec les sous-traitants, car ils ont désormais de nouvelles obligations et peuvent être directement sanctionnés par la Cnil. Ils devront notamment, eux aussi, tenir un registre des traitements mis en œuvre pour le compte de la collectivité. Autre urgence : s’assurer que des mesures de sécurité sont mises en place, qu’il s’agisse de sécurité logique (destructions de disques durs, verrouillage des ordinateurs, sécurisation des postes de travail, des serveurs, ou informatique mobile) ou de sécurité organisationnelle (habilitations des agents, etc.).

Gérer les risques

Une fois les traitements des données personnelles les plus sensibles repérés, il faudra réaliser, pour chacun d’eux, une analyse d’impact sur la protection des données, appelée « PIA ». « Le PIA n’est obligatoire que dans certains cas », précise Virginie Langlet. Pour déterminer si l’on doit y avoir recours, une liste de critères a été établie. Si deux d’entre eux sont remplis, le PIA est appliqué. Parmi ces critères sont entre autres cités : les traitements qui donnent lieu à des décisions automatiques avec effet légal ; les données sensibles ; les données qui touchent des personnes vulnérables (les agents de la collectivité sont ainsi considérés) ; les traitements qui feront l’objet de croisements de données ; la surveillance de l’espace public. Il n’est donc pas utile de mener une étude de risques lorsque le traitement ne représente pas de menace élevée pour les personnes. De même, elle n’est pas requise si le traitement a été autorisé avant l’entrée en vigueur du RGPD.

Pour autant, même s’il n’est pas obligatoire, le PIA a son intérêt, par exemple pour s’assurer que le traitement est respectueux de la vie privée, et que celle-ci est prise en compte dès la conception du traitement. Ce qui correspond à une démarche « privacy by design ». La Cnil met à disposition un logiciel « PIA », qui aide à la réalisation de ces analyses d’impact. « Cet outil est gratuit. Son utilisation sécurisera les responsables de traitement qui pourront s’appuyer sur la méthodologie qu’il offre », explique Alice de La Mure, juriste au service « correspondants informatique et libertés » de la Cnil.

Organiser les processus internes

Le RGPD oblige de rester en permanence en conformité avec la réglementation. Pour cela, il faudra mettre en place des procédures internes qui garantiront la prise en compte de la protection de la vie privée durant l’ensemble des événements pouvant survenir au cours de la durée d’un traitement de données. Pour être parée, la collectivité devra notamment prévoir des modèles de pré-audit, des grilles d’audit interne, des modèles d’analyses juridiques, des procédures de gestion des réclamations concernant les droits des personnes, d’autres sur la gestion de failles de sécurité, ainsi que sur le modus operandi lors d’un changement de prestataire. Selon Virginie Langlet, « tous ces aspects sont à prévoir en amont des projets ». Il s’agit des concepts de « privacy by design » et « privacy by default », qui commandent que la protection des données personnelles soit prise en compte dès la conception d’un traitement ou d’un service.

Documenter la conformité

De la responsabilisation des acteurs voulue par le RGPD résulte un contrôle a posteriori des actions conduites dans le cadre de la protection des données personnelles, contrôles qui seront menés par la Cnil. Les collectivités devront donc être capables de prouver que tout est mis en œuvre pour garantir la vie privée des usagers et des agents. Alice de La Mure synthétise : « La responsabilisation des acteurs entraîne, pour eux, de pouvoir garantir, mais aussi démontrer, leur conformité à tout instant. » Pour ce faire, les collectivités territoriales doivent tenir à disposition du régulateur une documentation mise à jour régulièrement, qui contient une trace de tout ce qu’elles réalisent afin de protéger les données personnelles : registres, études juridiques, formalités auprès de la Cnil, PIA, descriptions des transferts de données, contrats.

Au-delà de cet aspect, Alice de La Mure insiste sur le fait que cette documentation est aussi un outil qui bénéficie à la collectivité. « Sans elle, la personne publique ne pourra pas piloter et prouver la conformité avec le règlement. Dans le nouveau contexte de gouvernance des données, il sera par exemple nécessaire que les collectivités territoriales formalisent des politiques et procédures, conservent une trace de leurs analyses d’impact, etc. » Il s’agira donc d’une sensibilisation. Un agent de la région explique ainsi : « Nous n’avons pas encore défini la forme qu’elle prendra, mais nous allons sensibiliser l’ensemble des agents afin qu’ils aient les bons réflexes, notamment lorsqu’ils manipulent des données nominatives. L’objectif est qu’ils pensent à contacter le DPD en cas de difficulté. » Et tous les agents seront impliqués. « Il n’y a pas que les managers ou les directeurs qui sont concernés, mais bien toutes les personnes chargées de la saisie des données », estime Laurence Kerviel, juriste au centre de gestion du Finistère. Ce que confirme Virginie Langlet, CIL du département des Alpes-Maritimes et référente de l’Assemblée des départements de France pour la protection des données personnelles : « Dans le cadre d’un compte rendu d’entretien, il peut arriver de collecter des données portant sur la vie privée des personnes sans s’en rendre compte. Cela engendre une collecte plus importante que nécessaire, par exemple, en notant tout ce que leur dit l’usager. »

Réagir à cet article
Prochain Webinaire

L’adresse, outil de connaissance des territoires et levier d’efficacité des politiques publiques

de La Poste Solutions Business

--
jours
--
heures
--
minutes

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI
marche online

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Commentaires

Données personnelles : appliquer la nouvelle réglementation en six étapes clés

Votre e-mail ne sera pas publié

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement